Incluso con Slack, equipos y cada nueva herramienta de comunicación, el correo electrónico sigue siendo el vector de ataque superior para las empresas. ¿Por qué? Porque es familiar, confiable y fácil de explotar.
Un mensaje convincente es todo lo que se necesita y las amenazas se deslizan más allá de los filtros, los avs y los edrs sin hacer un sonido.
A continuación hay cinco ejemplos reales de ataques que no fueron detectados por las herramientas tradicionales, pero fueron completamente expuestos en cualquiera de los sandbox interactivos.
Visítelos para ver cómo funcionan y cómo puede detener las amenazas como estas con mucho menos esfuerzo.
1. Adjuntos de malware: la amenaza que parece rutinaria
Para muchos SOC, los archivos adjuntos de malware siguen siendo uno de los puntos ciegos más frustrantes. En la superficie, estos archivos parecen documentos comerciales cotidianos, PDF, facturas, notas de envío.
A menudo pasan porque el análisis estático no capta lo que realmente hace el archivo.
Por qué SOCS lo pierde:
Los escáneres estáticos solo verifican las firmas, no los servicios de confianza de comportamiento (como SharePoint) alojando el aumento de la carga útil Negativas Falsas Negativas Ninguna interacción real del usuario significa que la cadena de carga útil completa no se ejecuta en entornos de prueba
Pero con una caja de arena interactiva como cualquiera.
A diferencia de los escáneres estáticos, el sandbox interactúa activamente con el archivo, hace clic en botones, abre enlaces y desencadena cargas útiles ocultas, exponiendo comportamientos que de otro modo permanecerían inactivo.
Incluso los archivos que parecen limpios en la superficie revelan su verdadera naturaleza cuando se observan en tiempo real.
Caso real: un pdf peligroso que se ve legítimo
Adjunto sospechoso de PDF analizado dentro de cualquiera.
A primera vista, Rauscher-Fahrzeugeinrichtungen.pdf parecía un archivo comercial de rutina. Pero cuando se detonó en cualquier Sandbox de Run, surgió una imagen muy diferente.
En el momento en que se abrió el archivo, contactó a una página de phishing alojada en SharePoint; Un dominio de Microsoft de confianza a menudo utilizado para evitar filtros.
En el interior, JavaScript, ofuscado, activó silenciosamente una mayor actividad del sistema, incluido el lanzamiento de Adobe Acrobat y Microsoft Edge.
Página de phishing con archivo adjunto malicioso alojado en SharePoint
Edge cargó una página de inicio de sesión de Microsoft falsa, construida para robar credenciales. Mientras tanto, los procesos de fondo conectados a los servidores externos para exfiltrar los datos.
Página falsa de Microsoft utilizada para robar credenciales de posibles víctimas
Any.
Sin una caja de arena, este archivo se habría visto limpio. Con cualquiera de los equipos de SOC obtiene la visibilidad que necesitan para detectar, comprender y detener las amenazas antes de que dañen.
Equipe tu SoC con cualquiera de los sandbox para detectar amenazas de correo electrónico evasivas en tiempo real y reducir el tiempo de respuesta con menos esfuerzo manual -> Regístrese ahora
2. Robo de credencial: cuando un clic abre la puerta
El robo de credenciales sigue siendo una de las amenazas de correo electrónico más peligrosas para los SOC, especialmente cuando se combina con herramientas diseñadas para evitar MFA.
Estas campañas de phishing a menudo dependen de enlaces bien elaborados que parecen legítimos y desencadenan un comportamiento que es casi invisible para las defensas tradicionales.
La mayoría de las herramientas de SOC escanean indicadores conocidos, pero rara vez atrapan lo que sucede después de hacer clic en un enlace. Ahí es donde las cajas de arena interactivas marcan la diferencia.
Caso real: Phishing con Tycoon 2FA
Phishing Correo electrónico con Tycoon 2FA analizado dentro de cualquiera.
En este ataque, un correo electrónico de phishing contenía un enlace vinculado a Tycoon 2FA; Una herramienta utilizada para evitar MFA en las cuentas de Microsoft y Google.
Una vez hecho clic, cualquiera de Sandbox de RUN observó múltiples procesos de borde de lanzamiento; Una bandera roja temprana. Estos procesos comenzaron a alterar los datos de caché y usuarios del navegador e incluso comenzaron a editar claves de registro.
Las claves de registro en HKEY_CURRENT_USER \ Software \ Microsoft están siendo editadas en silencio por el navegador
La víctima fue redirigida a una réplica perfecta de una página de inicio de sesión de Microsoft, alojada en un dominio malicioso. Cualquier credencial ingresada aquí iría directamente al atacante.
El Sandbox también marcó una posible conexión TOR, probablemente utilizada para exfiltrar los datos robados.
Página de inicio de sesión de Microsoft falsa revelada dentro de Sandbox Interactive
Sin una caja de arena, este tipo de actividad de phishing parece una sesión de navegación normal.
Pero con cualquiera.
3. Explotaciones de día cero: los ataques que no esperan
Los días cero son una pesadilla para los SOC porque explotan fallas que aún no tienen un parche o firma. Las herramientas tradicionales no pueden atrapar lo que no reconocen y eso es exactamente lo que hace que estas amenazas sean tan peligrosas.
Un caso reciente involucró a CVE-2024-43451, una vulnerabilidad de Windows que filtra los hashes NTLMV2 simplemente interactuando con un archivo de acceso directo malicioso.
No se necesitaban clics, simplemente previsualizar el correo electrónico fue suficiente para lanzar el ataque.
Caso real: phishing con exploit de día cero
.Eml Correo electrónico con un archivo adjunto con cremallera que desencadena silenciosamente la actividad del sistema cuando se previse
Dentro de Any.run Sandbox, se abrió un archivo .Eml malicioso. Sin ninguna acción del usuario, activó Edge, luego Winrar, y finalmente lanzó comandos ocultos que abusaron de la vulnerabilidad.
El uso de CVE-2024-43451 detectado por cualquiera.
Finalmente, una conexión SMB silenciosa que exfiltró el hash NTLMV2 del usuario dio a los atacantes un camino hacia el movimiento lateral de pase de pase.
Any.run muestra una conexión exitosa a un servidor SMB externo, exponiendo una posible violación de la privacidad corporativa
Para los SOC, esta es exactamente la razón por la cual la visibilidad del comportamiento es importante. Con cualquiera, se detecta y se mapea en menos de un minuto, antes de que los atacantes entren.
4. Quising: el código de código QR, la mayoría de las herramientas se pierden
Quitar, Phishing a través de códigos QR, es un desafío creciente para los SOC. Estos ataques incrustan códigos QR maliciosos en correos electrónicos o archivos adjuntos, atrayendo a los usuarios a escanearlos con sus teléfonos.
Dado que los dispositivos móviles a menudo se encuentran fuera de las defensas corporativas, el ataque evita los filtros, los EDR y las puertas de enlace de correo electrónico por completo.
Caso real: correo de voz phish a través de QR
Any.
En esta sesión, un correo electrónico de phishing afirmó que el usuario tenía un correo de voz. La captura? Tuvieron que escanear un código QR para escucharlo.
Dentro de la caja de arena, cualquier interactividad automatizada de RUN se activó, escaneando el código, decodificando la URL y exponiendo el sitio de phishing en segundos, sin ningún paso manual necesario del analista.
URL maliciosa expuesta en la sección de descubrimiento estático dentro de cualquiera.
Para los equipos de SOC, esto significa una detección más rápida, menos tiempo de analista y la capacidad de detectar amenazas que evitan por completo las protecciones de correo electrónico tradicionales.
5. CVE-2017-11882: Old Exploit, amenaza en curso
A pesar de tener años, CVE-2017-11882 todavía se explota activamente, principalmente a través de archivos maliciosos .RTF o .doc entregados a través de correos electrónicos de phishing.
La vulnerabilidad vive en el editor de ecuaciones de Microsoft obsoleto y habilita la ejecución de código remoto tan pronto como se abre el documento.
Para los SOC, este tipo de exploits heredados a menudo no se detectan porque la carga útil parece un archivo de oficina estándar hasta que se ejecuta activamente.
Caso real: Exploit activado por archivo adjunto de correo electrónico
Correo electrónico malicioso con CVE-2017-11882 Vulnerabilidad analizada dentro de cualquiera.
En esta sesión, el ataque llegó a través de un archivo .Eml que contiene un documento de oficina.
Cuando se abrió, desencadenó el proceso eqnedt32.exe y comenzó a ejecutar una cadena de acciones maliciosas; Lectura de configuraciones del sistema, acceder a certificados, soltar archivos y llegar a servidores externos.
Eqnedt32.exe cambia de archivos del sistema dentro de cualquiera. Run’s Interactive Sandbox
Any.
Explotación de CVE-2017-11882 revelada en la sección Mitre ATT & CK de cualquiera.
Al detectar hazañas conocidas como esta en tiempo real, los sandboxes ayudan a los equipos a reducir MTTD y detener incluso métodos de ataque obsoletos antes de que se propagen.
Haga que su SOC esté listo para las amenazas de correo electrónico del mundo real
Los cinco ataques por correo electrónico son casos reales capturados en la naturaleza, a menudo evitando las defensas tradicionales y aterrizando directamente en las bandejas de entrada de los empleados.
Para la mayoría de los SOC, los escaneos estáticos, los filtros de correo electrónico y los EDR no son suficientes para exponer lo que realmente está sucediendo después del clic. Es por eso que necesita una solución como cualquier otra. Run’s Interactive Sandbox.
Con Any.
La visibilidad conductual profunda de los archivos adjuntos, enlaces y cargas útiles de detección de amenazas evasivas que evitan la automatización de herramientas tradicionales que reducen la carga de trabajo de los analistas y el tiempo de respuesta enriquecidos para los COO para una investigación más rápida e integración SIEM detallada para respaldar la respuesta y el cumplimiento
Comience su prueba de 14 días de cualquiera. y traiga poder de detección del mundo real a su SOC.
